Nuevo ransomware cifra los datos pero también llama los clientes y empleados de la empresa para extorsionarlos

Especialistas en ciberseguridad reportan la detección de una nueva táctica empleada por grupos de ransomware, los cuales han comenzado a amenazar a las organizaciones afectadas con desplegar poderosos ataques de denegación de servicio (DoS) e interrumpir sus operaciones si se niegan a cubrir el monto del rescate.

El grupo detrás de estos ataques, identificado como Yanluowang, fue detectado por especialistas de Symantec durante el análisis de un intento de ciberataque contra una compañía cuyo nombre no fue revelado. El ataque no tuvo éxito pero permitió a los investigadores averiguar algunos detalles sobre esta nueva variante de ransomware, incluyendo esta amenaza de ataque DoS.

Al completar la infección, los hackers entregan una nota de rescate que incluye la dirección de criptomoneda a la que debe enviarse el pago. Además, los hackers advierten a la víctima que si notifican a las autoridades sus datos serán eliminados de forma definitiva.

Por si no fuera suficiente, los cibercriminales también amenazan a las víctimas con lanzar ataques DoS si piden ayuda externa, lo que podría interrumpir sus sistemas de forma indeterminada. Dick O’Brien, investigador de Symantec, menciona que no hay evidencia de que los hackers en verdad tengan los recursos para desplegar esta clase de disrupciones, aunque entiende que las víctimas se tomen esta amenaza en serio.

Sobre el primer acceso a las redes afectadas, los investigadores aún no han encontrado el método empleado por los hackers para completar la infección, aunque este podría estar relacionado con AdFind, una línea de comando legítima en Active Directory.

Según mencionan, los grupos de ransomware suelen abusar de esta herramienta para explotar fallas en Active Directory y encontrar formas adicionales de moverse en secreto por la red, con el objetivo final de implementar ransomware.

En el intento de ataque detectado por Symantec, los hackers podrían haber estado tratado de implementar la carga útil apenas unos pocos días después de detectar actividad sospechosa. Este intento de ataque habría sido interrumpido cuando los equipos de seguridad de la compañía afectada detectaron algunos indicadores de compromiso.

A pesar de que este intento específico fue interrumpido con éxito, cada vez se identifican más casos similares, aunque en ninguno de los reportes se habla de un consecuente ataque de denegación de servicio. No obstante, los expertos en ciberseguridad recomiendan a las organizaciones adoptar un enfoque proactivo para la prevención de infecciones de ransomware.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).